Anzeige

Python

Sophos gibt Details zu einer neuen, Python-basierten Ransomware bekannt, mit der Cyberkriminelle virtuelle Maschinen auf ESXi-Hypervisoren angreifen und verschlüsseln.

Im Report mit dem Titel "Python Ransomware Script Targets ESXi Server for Encryption" beschreiben die Experten der Sophos Labs eine High-Speed-Attacke, die weniger als drei Stunden vom Einbruch bis zur Verschlüsselung benötigte.

"Dies ist eine der schnellsten Ransomware-Attacken, die Sophos je untersucht hat, und sie scheint genau auf die ESXi-Plattform abzuzielen", sagt Andrew Brandt, Principal Researcher bei Sophos. "Python ist eine Programmiersprache, die üblicherweise nicht für Ransomware verwendet wird. Allerdings ist Python auf Linux-basierten Systemen wie ESXi vorinstalliert, so dass Python-basierte Angriffe auf solche Systeme möglich sind. ESXi-Server sind ein attraktives Ziel für Ransomware-Kriminelle, da sie in der Lage sind, mehrere virtuelle Maschinen mit möglicherweise geschäftskritischen Anwendungen oder Diensten gleichzeitig anzugreifen. Angriffe auf Hypervisoren können sowohl schnell als auch äußerst desaströs sein. Ransomware-Gruppen wie DarkSide und REvil haben es bei ihren Angriffen auf ESXi-Server abgesehen."

Ablauf des untersuchten Angriffs

Die Untersuchung ergab, dass der Angriff um 0:30 Uhr an einem Sonntag begann, als ein TeamViewer-Konto gekapert wurde, das auf einem Computer lief, auf dem auch Zugangsdaten für den Domain-Administrator vorhanden waren.

Nur 10 Minuten später nutzen die Angreifenden das Tool Advanced IP Scanner, um nach Zielen im Netzwerk zu suchen. Die SophosLabs gehen davon aus, dass der ESXi-Server im Netzwerk verwundbar war, weil er über ein Active Shell verfügte, eine Programmierschnittstelle, die IT-Teams für Befehle und Updates verwenden. Dadurch konnten die Cyberkriminellen ein sicheres Netzwerkkommunikationstool namens Bitvise auf dem Rechner des Domänenadministrators installieren, das ihnen Fernzugriff auf das ESXi-System einschließlich des Speichers ermöglichte, der von den virtuellen Maschinen verwendet wurde. Gegen 3:40 Uhr morgens wurde die Ransomware aktiviert und verschlüsselte Festplatten der ESXi-Server.

Hinweis für mehr Sicherheit

„Administrator:innen, die ESXi oder andere Hypervisoren in ihren Netzwerken betreiben, sollten bewährte Sicherheitspraktiken befolgen. Dazu gehört die Verwendung von sicheren Passwörtern und der Einsatz einer Multi-Faktor-Authentifizierung, wo immer dies möglich ist", so Brandt. "Die ESXi-Shell kann und sollte immer dann deaktiviert werden, wenn sie von den Mitarbeiter:innen nicht für routinemäßige Wartungsarbeiten verwendet wird, zum Beispiel während der Installation von Patches. Das IT-Team kann dies entweder über die Steuerelemente der Server-Konsole oder über die vom Hersteller bereitgestellten Software-Management-Tools steuern."

Endpoint-Produkte, wie beispielsweise Sophos Intercept X, schützen Systeme, indem sie die Aktionen und Verhaltensweisen von Ransomware und anderen Angriffen erkennen. Der Versuch, Dateien zu verschlüsseln, wird entsprechend blockiert. Spezielle Sicherheitshinweise für ESXi-Hypervisoren sind hier online verfügbar. Sophos empfiehlt außerdem die folgenden Standard-Best-Practices zum Schutz vor Ransomware und damit verbundenen Cyberattacken:

Sicherheit auf strategischer Ebene

  • Einsatz eines mehrschichtigen Schutzes: Es ist wichtiger denn je, Angriffe von vornherein fernzuhalten oder sie so frühzeitig zu entdecken, dass sie keinen Schaden anrichten können. Ein mehrschichtiger Schutz hilft, Attacken an möglichst vielen Stellen im Unternehmen zu erkennen und zu blockieren.
     
  • Kombination von menschlichen Experten und Anti-Ransomware-Technologie: Der Schlüssel ist eine umfassende Verteidigung, die eine spezielle Anti-Ransomware-Technologie und eine von Menschen geführte Bedrohungsjagd kombiniert. Die Technologie inkludiert den Umfang und die Automatisierung, die ein Unternehmen heute zum Schutz benötigt und kombiniert dies mit menschlichen Expert:innen, die in der Lage sind, die verräterischen Taktiken, Techniken und Verfahren der Angriffe zu erkennen. Unternehmen, deren eigenes IT- oder Sicherheitsteam nicht über diese speziellen Fähigkeiten verfügt, können auf die Unterstützung von externen Cybersicherheitsspezialist:innen zählen.

Artikel zu diesem Thema

Ransomware
Okt 04, 2021

Anstieg von REvil und DarkSide Ransomware in Q2

McAfee Enterprise veröffentlicht die neue Ausgabe seines Advanced Threat Research…
Hacker
Jun 23, 2021

Arbeitsteilung bei Ransomware: Die Zusammenarbeit cyberkrimineller Gruppen

Die Bedrohungslage in Sachen Ransomware hat sich in den letzten Wochen und Monaten…
Ransomware
Aug 27, 2020

Die vier entscheidenden Strategien für den Ransomware-Schutz

Arcserve, ein Anbieter von Lösungen für Daten- und Ransomware-Schutz, warnt vor der…

Weitere Artikel

Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.
Herzmonitor

Ransomware-Angriffe auf Krankenhäuser - Sind Leben in Gefahr?

Krankenhäuser in den USA wurden zuletzt verstärkt von Ransomware-Gruppen angegriffen. Statistische Berechnungen zeigen nun, dass dabei durchaus Gefahr für Leib und Leben besteht.
Bitcoin Smartphone

iPhone-Krypto-Betrug eskaliert nun auch in Europa

Neue Erkenntnisse von Sophos deuten darauf hin, dass der internationale Cyber-Betrug mit Kryptowährung eskaliert. Cyberkriminelle nutzen beliebte Dating-Apps wie Tinder und Bumble, um iPhones von arglosen Nutzern:innen für ihre betrügerischen Machenschaften…
Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.